Zahlreiche Apps enthalten laut Sicherheitsforschern von Symantec hart codierte AWS-Zugriffstoken - mit einem gewaltigen Schadenspotenzial.
Symantec-Forscher haben in zahlreichen Apps hart codierte AWS-Zugriffstoken gefunden. Aufgrund gemeinsam genutzten Quellcodes waren die Token sogar oftmals identisch. Die potenziellen Risiken sind nicht zu unterschätzen.
Hart codierte AWS-Zugriffstoken fast ausschließlich in iOS-Apps entdeckt
Forscher des Sicherheitsspezialisten Symantec identifizierten 1859 Apps, die im Klartext im Quellcode hinterlegte AWS-Anmeldeinformationen enthalten. Fast alle, nämlich 98 % dieser Apps waren für iOS entwickelt worden, was die Forscher auf verschiedene Überprüfungstaktiken und Richtlinien der App Stores zurückführen. Dabei war iOS erst im Januar dadurch negativ aufgefallen, dass zahlreiche angeblich trackingfreie Apps Daten an Drittfirmen versendeten.
Dem Bericht der Sicherheitsexperten zufolge enthalten 77 % der betroffenen Apps „gültige AWS-Zugriffstoken, die den Zugriff auf private AWS-Clouddienste ermöglichen„. Mit 47 % beherbergen fast die Hälfte der Anwendungen „gültige AWS-Token, die außerdem vollen Zugriff auf zahlreiche, oft Millionen von privaten Dateien über den Amazon Simple Storage Service (Amazon S3) ermöglichen„.
Gemeinsam genutzter Quellcode ist häufig die Ursache
Interessanterweise verwenden sogar 53 % der Apps exakt dieselben AWS-Zugriffstoken, was letztendlich auf eine Schwachstelle in der Lieferkette hindeutet. Und genau dort fanden die Forscher den Übeltäter: gemeinsam genutzte Bibliotheken und SDKs eines Drittanbieters.
Auch externe Dienstleister, die mit der Entwicklung beauftragt werden, sind nicht selten die Ursache. Denn diese verwenden oftmals Teile ihres Quellcodes für mehrere Kundenprojekte, sodass sich auch hier hart codierte AWS-Zugriffstoken potenziell in die Anwendungen gleich mehrerer Kunden verirren. Oftmals hinterlegen Entwickler Zugangsdaten auch nur für interne Testzwecke und vergessen, diese vor der Auslieferung wieder aus dem Quellcode zu entfernen.
AWS-Zugriffstoken verschaffen oft weitreichende Zugriffsrechte
Die Risiken solcher Versäumnisse sind indes enorm. So berichtet das Symantec-Team beispielsweise von einem B2B-Unternehmen, das AWS-Zugriffstoken lediglich hart codiert hatte, um auf den AWS-Übersetzungsdienst zuzugreifen. Doch leider war der Zugriff mit diesem Token nicht auf den Übersetzungsdienst beschränkt. Daher ließen sich damit umfassende private Daten der Mitarbeiter sowie Finanzdaten und zahlreiche Kundendaten des Unternehmens abrufen.
In einem anderen Fall wurden mehr als 300.000 biometrische digitale Fingerabdrücke in fünf mobilen Banking-Apps, die alle das gleiche AI Digital Identity SDK eines Drittanbieters verwendeten, veröffentlicht. Aber auch andere persönliche Daten wie Namen und Geburtsdaten sämtlicher Kunden lagen damit frei zugänglich in der Cloud.
„Anwendungen mit fest codierten AWS-Zugriffstoken sind anfällig, aktiv und stellen ein ernstes Risiko dar„, betonen die Sicherheitsforscher.
